Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Conexión a un clúster de Amazon MSK aprovisionado
De forma predeterminada, los clientes solo pueden acceder a un clúster de MSK aprovisionado si se encuentran en la misma VPC que el clúster. Toda la comunicación entre los clientes de Kafka y el clúster de MSK aprovisionado es privada de forma predeterminada, y los datos de streaming nunca atraviesan Internet. Para conectarse al clúster de MSK aprovisionado desde un cliente que se encuentra en la misma VPC que el clúster, asegúrese de que el grupo de seguridad del clúster tenga una regla de entrada que permita el tráfico desde el grupo de seguridad del cliente. Para obtener información acerca de estas reglas, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules). Para obtener un ejemplo de cómo acceder a un clúster desde una instancia de Amazon EC2 que esté en la misma VPC que el clúster, consulte [Introducción a Amazon MSK](getting-started.md).
**nota**
KRaft el modo de metadatos y los corredores de MSK Express no pueden tener habilitados la supervisión abierta y el acceso público.
Para conectarte a tu clúster aprovisionado de MSK desde un cliente que está fuera de la VPC del clúster, consulta [Acceso desde dentro AWS pero desde fuera de la VPC del clúster](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html).
**Topics**
+ [Activación del acceso público a un clúster de MSK aprovisionado](public-access.md)
+ [Acceso desde la AWS VPC del clúster pero desde fuera](aws-access.md)
# Activación del acceso público a un clúster de MSK aprovisionado
Amazon MSK ofrece la opción de habilitar el acceso público a los agentes de clústeres de MSK aprovisionados que ejecutan Apache Kafka versión 2.6.0 o posterior. Por motivos de seguridad, no puede activar el acceso público al crear un clúster de MSK. Sin embargo, puede actualizar un clúster existente para que sea de acceso público. También puede crear un clúster nuevo y, a continuación, actualizarlo para que sea accesible públicamente.
Puedes activar el acceso público a un clúster de MSK sin coste adicional, pero se aplican los costes de transferencia de AWS datos estándar para la transferencia de datos dentro y fuera del clúster. Para obtener más información sobre este modelo de precios, consulte [Precios de las instancias bajo demanda de Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/).
Los clústeres aprovisionados de Amazon MSK con un tipo de red de doble pila admiten ambos IPv4 tipos de IPv6 conectividad para el acceso público. Cuando el acceso público esté habilitado en su clúster, las mismas cadenas de IPv6 arranque funcionarán automáticamente tanto para la conectividad predeterminada como para la de acceso público. Las cadenas de IPv4 arranque existentes seguirán funcionando para IPv4 la conectividad. Tenga en cuenta que si el acceso público no está habilitado en su clúster, las cadenas de IPv6 arranque no tendrán capacidad de acceso público. Para obtener más información, consulte Configurar el tipo de red de doble pila para un clúster de Amazon MSK.
**nota**
Si utiliza los métodos de control de acceso SASL/SCRAM o mTLS, primero debe configurar Apache Kafka para su clúster. ACLs Luego, actualice la configuración del clúster para establecer la propiedad `allow.everyone.if.no.acl.found` en falso. Para obtener información acerca de cómo actualizar la configuración de un clúster, consulte [Operaciones de configuración de agentes](msk-configuration-operations.md).
Para activar el acceso público a un clúster de MSK aprovisionado, asegúrese de que el clúster cumpla todas las siguientes condiciones:
+ Las subredes asociadas al clúster deben ser públicas. Cada subred pública tiene una IPv4 dirección pública asociada y el precio de IPv4 las direcciones públicas se indica en la página de precios de [Amazon VPC](https://aws.amazon.com/vpc/pricing/). Esto significa que las subredes deben tener una tabla de enrutamiento asociada con una puerta de enlace de Internet adjunta. Para obtener información sobre cómo crear y asociar una puerta de enlace de Internet, consulte [Habilitación del acceso a VPC mediante puertas de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) en la *Guía del usuario de Amazon VPC*.
+ El control de acceso no autenticado debe estar desactivado y al menos uno de los siguientes métodos de control de acceso debe estar activado: mTLS. SASL/IAM, SASL/SCRAM Para obtener más información acerca de cómo actualizar el método de control de acceso de un clúster, consulte [Actualización de la configuración de seguridad de un clúster de Amazon MSK](msk-update-security.md).
+ El cifrado dentro del clúster debe estar activado. Esta configuración es la predeterminada al crear un clúster. No es posible activar el cifrado dentro del clúster para un clúster que se creó con el cifrado desactivado. Por lo tanto, no es posible activar el acceso público a un clúster que se creó con el cifrado dentro del clúster desactivado.
+ El tráfico de texto sin formato entre los agentes y los clientes debe estar desactivado. Para obtener información sobre cómo desactivarlo si está activado, consulte [Actualización de la configuración de seguridad de un clúster de Amazon MSK](msk-update-security.md).
+ Si utiliza control de acceso con IAM y desea aplicar o actualizar políticas de autorización, consulte [Control de acceso de IAM](iam-access-control.md). Para obtener información sobre Apache Kafka, consulte. ACLs [Apache Kafka ACLs](msk-acls.md)
Una vez que se asegure de que un clúster de MSK cumple las condiciones enumeradas anteriormente, puede usar la Consola de administración de AWS AWS CLI, la o la API de Amazon MSK para activar el acceso público. Después de activar el acceso público a un clúster, puede obtener una cadena pública de bootstrap-brokers para este. Para obtener más información acerca de cómo obtener los agentes de arranque de un clúster, consulte [Obtención de agentes de arranque para un clúster de Amazon MSK](msk-get-bootstrap-brokers.md).
**importante**
Además de activar el acceso público, asegúrese de que los grupos de seguridad del clúster tengan reglas de TCP de entrada que permitan el acceso público desde su dirección IP. Le recomendamos que estas reglas sean lo más restrictivas posible. Para obtener más información acerca de los grupos de seguridad y las reglas de entrada, consulte [Grupos de seguridad de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la Guía del usuario de Amazon VPC. Para ver los números de los puertos, consulte [Información del puerto](port-info.md). Para obtener instrucciones acerca de cómo cambiar el grupo de seguridad de un clúster, consulte [Modificación del grupo de seguridad de un clúster de Amazon MSK](change-security-group.md).
**nota**
Si sigue estas instrucciones para activar el acceso público y, a pesar de ello, sigue sin poder acceder al clúster, consulte [No se puede acceder al clúster que tiene activado el acceso público](troubleshooting.md#public-access-issues).
**Activación del acceso público mediante la consola**
1. ¿Iniciar sesión en la Consola de administración de AWS consola Amazon MSK y abrirla desde [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. En la lista de clústeres, elija el clúster en el que desea activar el acceso público.
1. Seleccione la pestaña **Propiedades** y, a continuación, busque la sección **Configuración de redes**.
1. Elija **Editar el acceso público**.
**Activar el acceso público mediante el AWS CLI**
1. Ejecute el siguiente AWS CLI comando, sustituyendo *ClusterArn* y *Current-Cluster-Version* por el ARN y la versión actual del clúster. Para encontrar la versión actual del clúster, utilice la [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)operación o el comando [AWS CLI describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). Un ejemplo de ID de versión es `KTVPDKIKX0DER`.
```
aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'
```
El resultado de este comando `update-connectivity` tendrá un aspecto similar al siguiente.
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
```
**nota**
Para desactivar el acceso público, usa un AWS CLI comando similar, pero con la siguiente información de conectividad en su lugar:
```
'{"PublicAccess": {"Type": "DISABLED"}}'
```
1. Para obtener el resultado de la `update-connectivity` operación, ejecute el siguiente comando y *ClusterOperationArn* reemplácelo por el ARN que obtuvo en el resultado del `update-connectivity` comando.
```
aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn
```
El resultado de este comando `describe-cluster-operation` tendrá un aspecto similar al siguiente.
```
{
"ClusterOperationInfo": {
"ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"CreationTime": "2019-06-20T21:08:57.735Z",
"OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
"OperationState": "UPDATE_COMPLETE",
"OperationType": "UPDATE_CONNECTIVITY",
"SourceClusterInfo": {
"ConnectivityInfo": {
"PublicAccess": {
"Type": "DISABLED"
}
}
},
"TargetClusterInfo": {
"ConnectivityInfo": {
"PublicAccess": {
"Type": "SERVICE_PROVIDED_EIPS"
}
}
}
}
}
```
Si `OperationState` tiene el valor `UPDATE_IN_PROGRESS`, espere un rato y vuelva a ejecutar el comando `describe-cluster-operation`.
**Activación del acceso público mediante la API de Amazon MSK**
+ Para usar la API para activar o desactivar el acceso público a un clúster, consulte [UpdateConnectivity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-connectivity.html#UpdateConnectivity).
**nota**
Por motivos de seguridad, Amazon MSK no permite el acceso público a Apache ZooKeeper ni a los nodos KRaft del controlador.
# Acceso desde la AWS VPC del clúster pero desde fuera
Para conectarse a un clúster de MSK desde dentro AWS pero desde fuera de la Amazon VPC del clúster, existen las siguientes opciones.
## Interconexión de Amazon VPC
Para conectarte a tu clúster de MSK desde una VPC diferente de la VPC del clúster, puedes crear una conexión de emparejamiento entre ambas. VPCs Para obtener información sobre las interconexiones de VPC, consulte la [Guía de interconexión de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
## Direct Connect
Direct Connect conecta la red local a AWS través de un cable de fibra óptica Ethernet estándar de 1 o 10 gigabits. Un extremo del cable está conectado al router y el otro a un router. Direct Connect Con esta conexión, puede crear interfaces virtuales directamente a la AWS nube y a Amazon VPC, sin tener en cuenta a los proveedores de servicios de Internet en su ruta de red. Para obtener más información, consulte [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
## AWS Transit Gateway
AWS Transit Gateway es un servicio que le permite conectar sus redes locales VPCs y las suyas a una única puerta de enlace. Para obtener información acerca de cómo utilizar AWS Transit Gateway, consulte [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).
## Conexiones de VPN
Puede conectar la VPC de su clúster de MSK a redes y usuarios remotos mediante las opciones de conectividad de VPN descritas en el tema siguiente: [Conexiones de VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html).
## Proxies REST
Puede instalar una proxy REST en una instancia en ejecución en la VPC de Amazon del clúster. Los proxies REST permiten a los productores y los consumidores comunicarse con el clúster mediante solicitudes de API HTTP.
## Conectividad con varias VPC en regiones diferentes
El siguiente documento describe las opciones de conectividad para varias VPCs que residen en diferentes regiones: Conectividad [multiVPC de varias regiones](https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/).
## Conectividad privada con varias VPC en una sola región
La conectividad privada multiVPC (con tecnología [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) para los clústeres de Amazon Managed Streaming for Apache Kafka (Amazon MSK) es una función que le permite conectar más rápidamente los clientes de Kafka alojados en diferentes VPCs nubes privadas virtuales () AWS y cuentas a un clúster de Amazon MSK.
Consulte [Single Region multi-VPC connectivity for cross-account clients](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access-mult-vpc.html).
## Fin de la compatibilidad con la red de EC2-Classic
Amazon MSK ya no es compatible con las instancias de Amazon EC2 que se ejecutan en la red Amazon EC2-Classic.
Consulte [EC2-Classic Networking is Retiring – Here’s How to Prepare.](https://aws.amazon.com/blogs/aws/ec2-classic-is-retiring-heres-how-to-prepare/)
# Conectividad privada con varias VPC de Amazon MSK en una sola región
La conectividad privada multiVPC (con tecnología [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) para los clústeres de Amazon Managed Streaming for Apache Kafka (Amazon MSK) es una función que le permite conectar más rápidamente los clientes de Kafka alojados en diferentes VPCs nubes privadas virtuales () AWS y cuentas a un clúster de Amazon MSK.
La conectividad privada con varias VPC es una solución administrada que simplifica la infraestructura de red para la conectividad con varias VPC y entre cuentas. Los clientes pueden conectarse al clúster de Amazon MSK PrivateLink mientras mantienen todo el tráfico dentro de la AWS red. La conectividad privada de múltiples VPC para los clústeres de Amazon MSK está disponible en todas las regiones en las AWS que está disponible Amazon MSK.
**Topics**
+ [¿Qué es la conectividad privada con varias VPC?](#mvpc-what-is)
+ [Ventajas de la conectividad privada con varias VPC](#mvpc-benefits)
+ [Requisitos y limitaciones de la conectividad privada con varias VPC](#mvpc-requirements)
+ [Introducción a la conectividad privada con varias VPC](mvpc-getting-started.md)
+ [Actualización de los esquemas de autorización de un clúster](mvpc-cross-account-update-authschemes.md)
+ [Rechazo de una conexión de VPC administrada a un clúster de Amazon MSK](mvpc-cross-account-reject-connection.md)
+ [Eliminación de una conexión de VPC administrada a un clúster de Amazon MSK](mvpc-cross-account-delete-connection.md)
+ [Permisos para la conectividad privada con varias VPC](mvpc-cross-account-permissions.md)
## ¿Qué es la conectividad privada con varias VPC?
La conectividad privada de múltiples VPC para Amazon MSK es una opción de conectividad que le permite conectar clientes de Apache Kafka que están alojados en diferentes nubes privadas virtuales (VPCs) y AWS cuentas a un clúster de MSK.
Amazon MSK simplifica el acceso entre cuentas con [políticas de clústeres](mvpc-cluster-owner-action-policy.md). Estas políticas permiten al propietario del clúster conceder permisos a otras AWS cuentas para establecer una conectividad privada con el clúster de MSK.
## Ventajas de la conectividad privada con varias VPC
La conectividad privada con varias VPC tiene varias ventajas en comparación con [otras soluciones de conectividad](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html):
+ Automatiza la administración operativa de la solución de AWS PrivateLink conectividad.
+ Permite la superposición IPs entre las conexiones VPCs, lo que elimina la necesidad de mantener tablas de enrutamiento y IPs emparejamiento complejas y que no se superpongan asociadas a otras soluciones de conectividad de VPC.
Utiliza una política de clústeres para su clúster de MSK a fin de definir qué AWS cuentas tienen permisos para configurar la conectividad privada entre cuentas con su clúster de MSK. El administrador de varias cuentas puede delegar los permisos a los roles o usuarios adecuados. Si se utiliza con la autenticación de clientes de IAM, también puede utilizar la política de clústeres para definir los permisos del plano de datos de Kafka de forma granular para los clientes que se conectan.
## Requisitos y limitaciones de la conectividad privada con varias VPC
Tenga en cuenta estos requisitos del clúster de MSK para ejecutar la conectividad privada con varias VPC:
+ La conectividad privada con varias VPC solo se admite en la versión 2.7.1 o superior de Apache Kafka. Asegúrese de que todos los clientes que utilice con el clúster de MSK ejecuten versiones de Apache Kafka que sean compatibles con el clúster.
+ La conectividad privada con varias VPC admite los tipos de autenticación IAM, TLS y SASL/SCRAM. Los clústeres no autenticados no pueden utilizar la conectividad privada con varias VPC.
+ Si utilizas los métodos de control de acceso SASL/SCRAM o mTLS, debes configurar Apache Kafka para tu clúster. ACLs En primer lugar, configure Apache Kafka ACLs para su clúster. A continuación, actualice la configuración del clúster para que la propiedad `allow.everyone.if.no.acl.found` del clúster esté establecida en false. Para obtener información acerca de cómo actualizar la configuración de un clúster, consulte [Operaciones de configuración de agentes](msk-configuration-operations.md). Si utiliza el control de acceso de IAM y desea aplicar políticas de autorización o actualizarlas, consulte [Control de acceso de IAM](iam-access-control.md). Para obtener información sobre Apache Kafka ACLs, consulte. [Apache Kafka ACLs](msk-acls.md)
+ La conectividad privada con varias VPC no admite el tipo de instancia t3.small.
+ La conectividad privada de múltiples VPC no se admite en todas AWS las regiones, solo en AWS las cuentas de la misma región.
+ Para configurar la conectividad privada entre múltiples VPC, debe contar con el mismo número de subredes de cliente que de subredes del clúster. También debe asegurarse de que la [zona IDs de disponibilidad](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) sea la misma para la subred del cliente y la subred del clúster.
+ Amazon MSK no admite la conectividad privada con varias VPC con los nodos de ZooKeeper.
# Introducción a la conectividad privada con varias VPC
**Topics**
+ [Paso 1: en el clúster de MSK de la cuenta A, active la conectividad con varias VPC para el esquema de autenticación de IAM en el clúster](mvpc-cluster-owner-action-turn-on.md)
+ [Paso 2: asociación de una política de clúster al clúster de MSK](mvpc-cluster-owner-action-policy.md)
+ [Paso 3: acciones del usuario entre cuentas para configurar las conexiones de VPC administradas por el cliente](mvpc-cross-account-user-action.md)
En este tutorial, se utiliza un caso de uso común como ejemplo de cómo se puede utilizar la conectividad de varias VPC para conectar de forma privada un cliente de Apache Kafka a un clúster de MSK desde dentro, AWS pero desde fuera de la VPC del clúster. Este proceso requiere que el usuario entre cuentas cree una conexión y una configuración de VPC administrada por MSK para cada cliente, incluidos los permisos de cliente necesarios. El proceso también requiere que el propietario del clúster de MSK habilite la PrivateLink conectividad en el clúster de MSK y seleccione esquemas de autenticación para controlar el acceso al clúster.
En diferentes partes de este tutorial, seleccionamos las opciones que se aplican a este ejemplo. Esto no significa que sean las únicas opciones que funcionan para configurar un clúster de MSK o instancias de cliente.
La configuración de red para este caso de uso es la siguiente:
+ Un usuario entre cuentas (cliente de Kafka) y un clúster de MSK están en la misma red o región de AWS , pero en cuentas diferentes:
+ Clúster de MSK en la cuenta A
+ Cliente de Kafka en la cuenta B
+ El usuario entre cuentas se conectará de forma privada al clúster de MSK mediante el esquema de autenticación de IAM.
En este tutorial se presupone que hay un clúster de MSK aprovisionado creado con la versión 2.7.1 o superior de Apache Kafka. El clúster de MSK debe estar en estado ACTIVO antes de comenzar el proceso de configuración. Para evitar posibles pérdidas de datos o tiempos de inactividad, los clientes que usen una conexión privada con varias VPC para conectarse al clúster deben usar versiones de Apache Kafka que sean compatibles con el clúster.
El siguiente diagrama ilustra la arquitectura de la conectividad multiVPC de Amazon MSK conectada a un cliente de una cuenta diferente. AWS
![\[Diagrama de red con varias VPC en una sola región\]](http://docs.aws.amazon.com/es_es/msk/latest/developerguide/images/mvpc-network.png)
# Paso 1: en el clúster de MSK de la cuenta A, active la conectividad con varias VPC para el esquema de autenticación de IAM en el clúster
El propietario del clúster de MSK debe realizar los ajustes de configuración en el clúster de MSK una vez creado el clúster y ponerlo en estado ACTIVO.
El propietario del clúster activa la conectividad privada con varias VPC en el clúster ACTIVO para cualquier esquema de autenticación que esté activo en el clúster. Esto se puede hacer mediante la [UpdateSecurity API o la consola MSK](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html). Los esquemas de autenticación IAM, SASL/SCRAM y TLS admiten la conectividad privada con varias VPC. La conectividad privada con varias VPC no se puede habilitar para los clústeres no autenticados.
En este caso de uso, configurará el clúster para que utilice el esquema de autenticación de IAM.
**nota**
Si va a configurar el clúster de MSK para que utilice un esquema de SASL/SCRAM autenticación, la ACLs propiedad "" `allow.everyone.if.no.acl.found=false` de Apache Kafka es obligatoria. [Consulte Apache Kafka. ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)
Al actualizar la configuración de conectividad privada con varias VPC, Amazon MSK inicia un reinicio continuo de los nodos del agente para actualizar las configuraciones del agente. Esta acción puede tardar hasta 30 minutos o más en completarse. No puede realizar otras actualizaciones en el clúster mientras se actualiza la conectividad.
**Active la opción con varias VPC para los esquemas de autenticación seleccionados en el clúster de la cuenta A mediante la consola**
1. Abra la consola de Amazon MSK en [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)la cuenta en la que se encuentra el clúster.
1. En el panel de navegación, en **Clústeres de MSK**, seleccione **Clústeres** para ver la lista de clústeres de la cuenta.
1. Seleccione el clúster que desee configurar para la conectividad privada con varias VPC. El clúster debe estar en estado ACTIVO.
1. Seleccione la pestaña **Propiedades** del clúster y, a continuación, vaya a **Configuración de redes**.
1. Seleccione el menú desplegable **Editar** y elija **Activar la conectividad con varias VPC**.
1. Seleccione uno o más tipos de autenticación que desee activar para este clúster. Para este caso de uso, seleccione la **autenticación basada en roles de IAM**.
1. Seleccione **Guardar cambios**.
**Example - UpdateConnectivity API que activa los esquemas de autenticación de conectividad privada de varias VPC en un clúster**
Como alternativa a la consola de MSK, puede usar la [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) para activar la conectividad privada de varias VPC y configurar esquemas de autenticación en un clúster ACTIVO. En el siguiente ejemplo, se muestra el esquema de autenticación de IAM para el clúster.
```
{
"currentVersion": "K3T4TT2Z381HKD",
"connectivityInfo": {
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"iam": {
"enabled": TRUE
}
}
}
}
}
}
```
Amazon MSK crea la infraestructura de red necesaria para la conectividad privada. Amazon MSK también crea un nuevo conjunto de puntos de conexión de agente de arranque para cada tipo de autenticación que requiera conectividad privada. Tenga en cuenta que el esquema de autenticación de texto sin formato no admite la conectividad privada con varias VPC.
# Paso 2: asociación de una política de clúster al clúster de MSK
El propietario del clúster puede asociar una política de clúster (también conocida como [política basada en recursos](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) al clúster de MSK, donde activará la conectividad privada con varias VPC. La política de clúster otorga a los clientes permiso para acceder al clúster desde otra cuenta. Para poder editar la política de clúster, necesitará los ID de las cuentas que deben tener permiso para acceder al clúster de MSK. Consulte [How Amazon MSK works with IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).
El propietario del clúster debe asociar una política de clúster al clúster de MSK que autorice al usuario con varias cuentas de la cuenta B a contratar agentes de arranque para el clúster y a autorizar las siguientes acciones en el clúster de MSK de la cuenta A:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2
**Example**
Como referencia, a continuación se muestra un ejemplo del JSON para una política de clúster básica, similar a la política predeterminada que se muestra en el editor de políticas de IAM de la consola de MSK. La siguiente política concede permisos de acceso al clúster, a los temas y a los grupos.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka-cluster:*"
],
"Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
}
]
}
```
**Asociación de una política de clúster al clúster de MSK**
1. En la consola de Amazon MSK, en **Clústeres de MSK**, elija **Clústeres**.
1. Desplázate hacia abajo hasta llegar a **Configuración de seguridad** y seleccione **Editar política del clúster**.
1. En la consola, en la pantalla **Editar política de clúster**, seleccione **Política básica para la conectividad con varias VPC**.
1. En el campo **ID de cuenta**, ingrese el ID de cuenta de cada cuenta que deba tener permiso para acceder a este clúster. A medida que escriba el ID, este se copia automáticamente en la sintaxis JSON de la política que se muestra. En nuestro ejemplo de política de clúster, el ID de cuenta es *111122223333*.
1. Seleccione **Guardar cambios**.
Para obtener información sobre la política de clústeres APIs, consulte Políticas [basadas en recursos de Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).
# Paso 3: acciones del usuario entre cuentas para configurar las conexiones de VPC administradas por el cliente
Para configurar la conectividad privada con varias VPC entre un cliente de una cuenta diferente del clúster de MSK, el usuario entre cuentas crea una conexión de VPC administrada para el cliente. Se pueden conectar varios clientes al clúster de MSK repitiendo este procedimiento. Para los fines de este caso de uso, tendrá que configurar un solo cliente.
Los clientes pueden usar los esquemas de autenticación compatibles: IAM, SASL/SCRAM o TLS. Cada conexión de VPC administrada solo puede tener asociado un esquema de autenticación. El esquema de autenticación del cliente debe configurarse en el clúster de MSK al que se conectará el cliente.
Para este caso de uso, configure el esquema de autenticación del cliente de modo que el cliente de la cuenta B utilice el esquema de autenticación de IAM.
**Requisitos previos**
Este proceso requiere los siguientes elementos:
+ La política de clústeres creada anteriormente que concede al cliente de la cuenta B permiso para realizar acciones en el clúster de MSK de la cuenta A.
+ Una política de identidad asociada al cliente en la cuenta B que otorga permisos para `kafka:CreateVpcConnection`, `ec2:CreateTags`, `ec2:CreateVPCEndpoint` y la acción `ec2:DescribeVpcAttribute`.
**Example**
Como referencia, a continuación se muestra un ejemplo de JSON para una política de identidad de cliente básica.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint",
"ec2:DescribeVpcAttribute"
],
"Resource": "*"
}
]
}
```
**Creación de una conexión de VPC administrada para un cliente de la cuenta B**
1. Del administrador del clúster, obtenga el **ARN del clúster** de MSK de la cuenta A al que desea que se conecte el cliente de la cuenta B. Anote el ARN del clúster para usarlo más adelante.
1. En la consola de MSK de la cuenta de cliente B, seleccione **Conexiones de VPC administradas** y, a continuación, seleccione **Crear conexión**.
1. En el panel **Configuración de conexión**, pegue el ARN del clúster en el campo de texto ARN del clúster y, a continuación, seleccione **Verificar**.
1. Seleccione el **Tipo de autenticación** para el cliente en la cuenta B. Para este caso de uso, elija IAM al crear la conexión de VPC del cliente.
1. Elija la **VPC** para el cliente.
1. Elija al menos dos **zonas** de disponibilidad y **subredes** asociadas. Puede obtener la zona IDs de disponibilidad desde los detalles del clúster de AWS Management Console o mediante la [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API o el comando AWS CLI [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). La zona IDs que especifique para la subred del cliente debe coincidir con las de la subred del clúster. Si faltan los valores de una subred, primero cree una subred con el mismo ID de zona que su clúster de MSK.
1. Elija un **Grupo de seguridad** para esta conexión de VPC. Puede aceptar el grupo de seguridad predeterminado. Para obtener más información sobre la configuración de grupos de seguridad, consulte [Control del tráfico hacia los recursos mediante grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).
1. Seleccione **Crear conexión**.
1. Para obtener la lista de nuevas cadenas de agente de arranque desde la consola de MSK del usuario entre cuentas (**Detalles del clúster** > **Conexiones de VPC administradas**), consulte las cadenas de agente de arranque que se muestran en **Cadena de conexión del clúster**. Desde la cuenta B del cliente, se puede ver la lista de agentes de arranque llamando a la [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API o consultando la lista de agentes de arranque en los detalles del clúster de la consola.
1. Actualice los grupos de seguridad asociados a las conexiones de VPC de la siguiente manera:
1. Establezca **reglas de entrada** para la PrivateLink VPC a fin de permitir todo el tráfico del rango de IP desde la red de la cuenta B.
1. [Opcional] Establezca conectividad mediante **Reglas de salida** con el clúster de MSK. Elija el **Grupo de seguridad** en la consola de la VPC, **Editar reglas de salida** y agregue una regla para **Tráfico TCP personalizado** para los rangos de puertos del 14001 al 14100. El equilibrador de carga de red de varias VPC escucha en los rangos de puertos del 14001 al 14100. Consulte [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).
1. Configure el cliente de la cuenta B para que utilice los nuevos agentes de arranque para la conectividad privada con varias VPC a fin de conectarse al clúster de MSK de la cuenta A. Consulte [Produce and consume data](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).
Una vez completada la autorización, Amazon MSK crea una conexión de VPC administrada para cada VPC y esquema de autenticación especificados. El grupo de seguridad elegido se asocia a cada conexión. Amazon MSK configura esta conexión de VPC administrada para conectarse de forma privada a los agentes. Puede utilizar el nuevo conjunto de agentes de arrange para conectarse de forma privada al clúster de Amazon MSK.
# Actualización de los esquemas de autorización de un clúster
La conectividad privada de múltiples VPC admite varios esquemas de autorización: conectividad SASL/SCRAM, IAM, and TLS. The cluster owner can turn on/off privada para uno o más esquemas de autenticación. El clúster debe estar en estado ACTIVO para realizar esta acción.
**Activación de un esquema de autenticación mediante la consola de Amazon MSK**
1. Abra la consola de Amazon MSK en [Consola de administración de AWS](https://console.aws.amazon.com/msk) para el clúster que desee editar.
1. En el panel de navegación, en **Clústeres de MSK**, seleccione **Clústeres** para ver la lista de clústeres de la cuenta.
1. Seleccione el clúster que desee editar. El clúster debe estar en estado ACTIVO.
1. Seleccione la pestaña **Propiedades** del clúster y, a continuación, vaya a **Configuración de redes**.
1. Seleccione el menú desplegable **Editar** y elija **Activar la conectividad con varias VPC** para activar un nuevo esquema de autenticación.
1. Seleccione uno o más tipos de autenticación que desee activar para este clúster.
1. Seleccione **Activar la selección**.
Al activar un nuevo esquema de autenticación, también debe crear nuevas conexiones de VPC administradas para el nuevo esquema de autenticación y actualizar los clientes para que usen los agentes de arranque específicos del nuevo esquema de autenticación.
**Desactivación de un esquema de autenticación mediante la consola de Amazon MSK**
**nota**
Al desactivar la conectividad privada con varias VPC para los esquemas de autenticación, se elimina toda la infraestructura relacionada con la conectividad, incluidas las conexiones de VPC administradas.
Al desactivar la conectividad privada con varias VPC para los esquemas de autenticación, las conexiones de VPC existentes del cliente cambian a INACTIVAS y la infraestructura de Privatelink del clúster, incluidas las conexiones de VPC administradas, se elimina del clúster. El usuario entre cuentas solo puede eliminar la conexión de VPC inactiva. Si la conectividad privada se vuelve a activar en el clúster, el usuario entre cuentas debe crear una nueva conexión con el clúster.
1. Abra la consola de Amazon MSK en [Consola de administración de AWS](https://console.aws.amazon.com/msk).
1. En el panel de navegación, en **Clústeres de MSK**, seleccione **Clústeres** para ver la lista de clústeres de la cuenta.
1. Seleccione el clúster que desee editar. El clúster debe estar en estado ACTIVO.
1. Seleccione la pestaña **Propiedades** del clúster y, a continuación, vaya a **Configuración de redes**.
1. Seleccione el menú desplegable **Editar** y elija **Desactivar la conectividad con varias VPC** (para desactivar un esquema de autenticación).
1. Seleccione uno o más tipos de autenticación que desee desactivar para este clúster.
1. Seleccione **Desactivar la selección**.
**Example Para convertir on/off un esquema de autenticación con la API**
Como alternativa a la consola de MSK, puede usar la [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) para activar la conectividad privada de varias VPC y configurar esquemas de autenticación en un clúster ACTIVO. En el siguiente ejemplo, se muestran los esquemas SASL/SCRAM de autenticación de IAM activados para el clúster.
Al activar un nuevo esquema de autenticación, también debe crear nuevas conexiones de VPC administradas para el nuevo esquema de autenticación y actualizar los clientes para que usen los agentes de arranque específicos del nuevo esquema de autenticación.
Al desactivar la conectividad privada con varias VPC para los esquemas de autenticación, las conexiones de VPC existentes del cliente cambian a INACTIVAS y la infraestructura de Privatelink del clúster, incluidas las conexiones de VPC administradas, se elimina. El usuario entre cuentas solo puede eliminar la conexión de VPC inactiva. Si la conectividad privada se vuelve a activar en el clúster, el usuario entre cuentas debe crear una nueva conexión con el clúster.
```
Request:
{
"currentVersion": "string",
"connnectivityInfo": {
"publicAccess": {
"type": "string"
},
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"scram": {
"enabled": TRUE
},
"iam": {
"enabled": TRUE
}
},
"tls": {
"enabled": FALSE
}
}
}
}
}
Response:
{
"clusterArn": "string",
"clusterOperationArn": "string"
}
```
# Rechazo de una conexión de VPC administrada a un clúster de Amazon MSK
Desde la consola de Amazon MSK de la cuenta de administrador del clúster, puede rechazar una conexión de VPC del cliente. La conexión de VPC del cliente debe estar en el estado DISPONIBLE para poder rechazarse. Es posible que quiera rechazar una conexión de VPC administrada de un cliente que ya no esté autorizado a conectarse a su clúster. Para evitar que las nuevas conexiones de VPC administradas se conecten a un cliente, deniegue el acceso al cliente en la política de clúster. Una conexión rechazada sigue incurriendo en costos hasta que el propietario de la conexión la elimine. Consulte [Delete a managed VPC connection to an Amazon MSK cluster](https://docs.aws.amazon.com/msk/latest/developerguide/mvpc-cross-account-delete-connection.html).
**Rechazo de una conexión de VPC de cliente mediante la consola de MSK**
1. Abra la consola de Amazon MSK en [Consola de administración de AWS](https://console.aws.amazon.com/msk).
1. En el panel de navegación, seleccione **Clústeres** y desplácese hasta llegar a la lista **Configuración de redes > Conexiones de VPC cliente**.
1. Seleccione la conexión que desee rechazar y seleccione **Rechazar la conexión de la VPC cliente**.
1. Confirme que desea rechazar la conexión de VPC del cliente seleccionada.
Para rechazar una conexión de VPC administrada mediante la API, utilice la API `RejectClientVpcConnection`.
# Eliminación de una conexión de VPC administrada a un clúster de Amazon MSK
El usuario entre cuentas puede eliminar una conexión de VPC administrada para un clúster de MSK desde la consola de la cuenta del cliente. Como el usuario propietario del clúster no es propietario de la conexión de VPC administrada, la conexión no se puede eliminar de la cuenta de administrador del clúster. Una vez que se elimina una conexión de VPC, esta deja de incurrir en costos.
**Eliminación de una conexión de VPC administrada con la consola de MSK**
1. Desde la cuenta del cliente, abra la consola de Amazon MSK en [Consola de administración de AWS](https://console.aws.amazon.com/msk).
1. En el panel de navegación, seleccione **Conexiones de VPC administradas**.
1. En la lista de conexiones, seleccione la conexión que quiera eliminar.
1. Confirme que desea eliminar la conexión de VPC.
Para eliminar una conexión de VPC administrada mediante la API, utilice la API `DeleteVpcConnection`.
# Permisos para la conectividad privada con varias VPC
En esta sección, se resumen los permisos necesarios para los clientes y los clústeres que utilizan la característica de conectividad privada con varias VPC. La conectividad privada con varias VPC requiere que el administrador del cliente cree permisos en cada cliente que tendrá una conexión de VPC administrada al clúster de MSK. También requiere que el administrador del clúster de MSK habilite la PrivateLink conectividad en el clúster de MSK y seleccione esquemas de autenticación para controlar el acceso al clúster.
**Tipo de autenticación del clúster y permisos de acceso a los temas**
Active la característica de conectividad privada con varias VPC para los esquemas de autenticación que están habilitados para su clúster de MSK. Consulte [Requisitos y limitaciones de la conectividad privada con varias VPC](aws-access-mult-vpc.md#mvpc-requirements). Si va a configurar el clúster de MSK para que utilice un esquema de SASL/SCRAM autenticación, la propiedad de Apache Kafka ACLs es obligatoria. `allow.everyone.if.no.acl.found=false` Después de configurar las [Apache Kafka ACLs](msk-acls.md) para el clúster, actualice la configuración del clúster para que la propiedad `allow.everyone.if.no.acl.found` se establezca en false para el clúster. Para obtener información acerca de cómo actualizar la configuración de un clúster, consulte [Operaciones de configuración de agentes](msk-configuration-operations.md).
**Permisos de políticas de clúster entre cuentas**
Si un cliente de Kafka está en una AWS cuenta diferente a la del clúster de MSK, adjunte al clúster de MSK una política basada en el clúster que autorice al usuario raíz del cliente a conectarse entre cuentas. Puede editar la política de clúster de varias VPC mediante el editor de políticas de IAM de la consola de MSK (**Configuración de seguridad** del clúster > **Editar política de clúster**) o usar lo siguiente APIs para administrar la política de clúster:
**PutClusterPolicy**
Asocia la política de clúster al clúster. Puede usar esta API para crear o actualizar la política de clúster de MSK especificada. Si va a actualizar la política, el campo currentVersion es obligatorio en la carga de la solicitud.
**GetClusterPolicy**
Recupera el texto JSON del documento de política de clúster asociado al clúster.
**DeleteClusterPolicy**
Elimina la política de clúster.
El siguiente es un ejemplo del JSON para una política de clúster básica, similar al que se muestra en el editor de políticas de IAM de la consola de MSK. La siguiente política concede permisos de acceso al clúster, a los temas y a los grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"kafka-cluster:*",
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2",
"arn:aws:kafka:us-east-1:123456789012:topic/testing/*",
"arn:aws:kafka:us-east-1:123456789012:group/testing/*"
]
}]
}
```
------
**Permisos de cliente para la conectividad privada con varias VPC a un clúster de MSK**
Para configurar la conectividad privada con varias VPC entre un cliente de Kafka y un clúster de MSK, el cliente necesita una política de identidad asociada que conceda permisos para las acciones `kafka:CreateVpcConnection`, `ec2:CreateTags` y `ec2:CreateVPCEndpoint` al cliente. Como referencia, a continuación se muestra un ejemplo de JSON para una política de identidad de cliente básica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint"
],
"Resource": "*"
}
]
}
```
------
# Información del puerto
Utilice los siguientes números de puerto para que Amazon MSK pueda comunicarse con los equipos cliente:
+ Para comunicarse con productores y consumidores con texto sin formato, los agentes utilizan el puerto 9092.
+ Para comunicarse con los intermediarios mediante el cifrado TLS, utilice el puerto 9094 para acceder desde dentro AWS y el puerto 9194 para el acceso público.
+ Para comunicarse con los intermediarios mediante SASL/SCRAM, utilice el puerto 9096 para acceder desde dentro AWS y el puerto 9196 para el acceso público.
+ Para comunicarse con los corredores de un clúster configurado para su uso[Control de acceso de IAM](iam-access-control.md), utilice el puerto 9098 para acceder desde dentro AWS y el puerto 9198 para el acceso público.
+ Para comunicarse con los corredores mediante el tipo de IPv6 red en texto sin formato, utilice el puerto 20092
+ Para comunicarse con los corredores de un clúster que está configurado para utilizar el control de acceso de IAM IPv6, utilice el puerto 20098.
+ Para comunicarse con los corredores y utilizarlos IPv6, SASL/SCRAM utilice el puerto 20096.
+ Para comunicarse con los corredores que utilizan el cifrado TLS IPv6, utilice el puerto 20094.